Monero를 채굴하는 HiddenMiner 안드로이드 악성코드, 기기 오류 유발할 수 있어

Monero-Mining HiddenMiner Android Malware Can Potentially Cause Device Failure

감염 된 컴퓨터의 파워를 모네로를 채굴하는데 은밀히 사용하는 새로운 안드로이드 악성코드가 발견 되었습니다. 

이는 HiddenMiner라 명명 되었습니다. 모네로를 채굴하는 이 안드로이드 앱은 사용자 모르게 자신을 숨기고 기기의 관리자 기능을 악용해 셀프 보호 기능과 지속 매커니즘을 구현했습니다.

HiddenMiner에 연결 된 Monero 지갑들을 확인 결과, 운영자들이 26XMR ($5,360 상당)을 인출해간 것을 확인했습니다.

HiddenMiner는 기기의 CPU 파워를 이용해 Monero를 채굴합니다. 이 코드에는 스위치, 컨트롤러, 최적화 도구가 없어 기기의 리소스가 모두 소모될 때까지 쉬지 않고 Monero를 채굴하게 됩니다. 따라서 기기가 과열되고 작동이 중단될 가능성이 있습니다.

HiddenMiner는 써드파티 앱 스토어에서 발견되었습니다. 지금까지는 인도와 중국의 사용자들을 감염시켰지만, 곧 다른 국가로 확산될지 모릅니다.

<Monero 지갑들 중 하나의 스크린샷>

<출처: https://blog.trendmicro.com/trendlabs-security-intelligence/monero-mining-hiddenminer-android-malware-can-potentially-cause-device-failure/>

감염 체인

HiddenMiner는 정식 구글플레이 업데이트 앱으로 위장합니다. 이는 구글플레이의 아이콘을 사용하며, com.google.android.provider로 표시 됩니다. 또한 사용자에게 기기 관리자 권한을 요구하며, 이 창은 피해자가 활성화 버튼을 클릭할 때까지 표시됩니다. 

권한이 부여 되면 HiddenMiner는 백그라운드에서 Monero를 채굴하기 시작할 것입니다.

<이미지 출처 : https://blog.trendmicro.com/trendlabs-security-intelligence/monero-mining-hiddenminer-android-malware-can-potentially-cause-device-failure/>

기술 분석

HiddenMiner는 설치 후 앱의 라벨을 아무것도 없는 상태로 만들고 투명 아이콘을 사용하는 등 자기 자신을 숨기기 위한 여러가지 기술을 사용합니다. 이후 관리자 권한을 얻으면 setComponentEnableSetting()을 호출해 앱 런쳐에서 해당 앱을 숨깁니다.

<HiddenMiner가 자신을 숨기는 법. 왼쪽: 빈 앱 라벨과 투명 아이콘을 사용, 오른쪽: 기기 관리자 권한을 얻으면 사라짐>

<이미지 출처 : https://blog.trendmicro.com/trendlabs-security-intelligence/monero-mining-hiddenminer-android-malware-can-potentially-cause-device-failure/>

HiddenMiner는 탐지 및 자동화 된 분석을 피하는 안티-에뮬레이터 기능도 보유하고 있습니다. 이는 Github에서 찾을 수 있는 Android emulator detector를 악용해 해당 앱이 에뮬레이터에서 실행 되고 있는지 확인합니다.

기기 관리자 권한 악용

사용자는 앱에서 관리자 권한이 제거되기 전까지 활성 시스템 관리자 패키지를 삭제할 수 없습니다. 

HiddenMiner의 경우, 사용자가 이 앱의 기기 관리자 권한을 제거하려고 시도하면 기기의 스크린을 잠궈버리기 때문에 권한을 제거할 수 없게 됩니다.

구글은 Android Nougat 및 이후 버전에서 기기 관리자 어플리케이션의 권한을 축소시켜 더 이상 화면을 잠글 수 없도록 해 이 보안 문제를 해결했습니다.

현재 알약 M에서는 해당 악성앱에 대해 Trojan.Android.CoinMiner로 탐지중에 있습니다. 

출처 :

https://blog.trendmicro.com/trendlabs-security-intelligence/monero-mining-hiddenminer-android-malware-can-potentially-cause-device-failure/